有研究人員指出,微軟為了維持新舊版作業系統的相容性,在路徑轉換工具存在漏洞,使得攻擊者有機會將其用於提升權限,甚至是作為rootkit發動攻擊
資安業者SafeBreach揭露名為MagicDot的漏洞,當使用者在Windows電腦執行帶有路徑參數的函數,電腦會將DOS路徑轉換成Windows NT的路徑,但在轉換過程存在弱點,起因是該功能會移除所有路徑元素結尾的句號(.),以及在結尾的空白而造成。
上述的路徑轉換工作,大部分都會在Windows的使用者空間API完成,而研究人員利用MagicDot,發現了數個漏洞CVE-2023-36396、CVE-2023-32054。
值得留意的是,MagicDot不只讓研究人員找到上述漏洞,他認為還具備類似rootkit的能力,使得攻擊者在無需取得特殊權限的情況下,就有辦法隱藏檔案及處理程序、影響電腦對於預先讀取的檔案分析、讓工作管理員或Process Explorer將惡意程式識別為由微軟推出的程式等。
檔案伺服器軟體CrushFTP存在零時差漏洞,攻擊者可逃脫虛擬檔案系統下載伺服器的系統檔案
4月19日檔案伺服器系統CrushFTP發布資安公告,指出他們發布10.7.1、11.1.0新版本程式,修補已遭利用的零時差漏洞CVE-2024-4040,呼籲用戶應儘速部署新版程式因應。
該公司指出,一旦攻擊者利用上述漏洞,就有機會跳脫使用者的虛擬檔案系統(Virtual File System,VFS)範圍,從而存取、下載伺服器的系統檔案,CVSS風險評分為7.7。
雖然開發團隊並未透過攻擊細節,但資安業者CrowdStrike指出,這項漏洞被用於針對性攻擊,對方鎖定美國企業組織的CrushFTP伺服器下手,研究人員根據取得的證據,認為駭客很可能基於政治目標收集情報。
其他漏洞與修補
◆Palo Alto Networks旗下的EDR系統存在漏洞,攻擊者有可能藉此隱密在受害電腦行動
近期資安日報
【4月22日】資安研究機構MITRE證實遭遇Ivanti零時差漏洞攻擊
【4月19日】全球超過8萬臺Palo Alto Networks防火牆曝露GlobalProtect危急漏洞
【4月18日】DevOps協作平臺Confluence已知漏洞被用於散布勒索軟體Cerber
